Microsoft Entra ID Protection a Microsoft Graph PowerShell
Microsoft Graph je koncový bod sjednoceného rozhraní API Microsoftu a domovská stránka rozhraní API služby Microsoft Entra ID Protection . V tomto článku se dozvíte, jak pomocí sady Microsoft Graph PowerShell SDK spravovat rizikové uživatele pomocí PowerShellu. Organizace, které chtějí dotazovat rozhraní Microsoft Graph API přímo, můžou použít článek, Kurz: Identifikace a náprava rizik pomocí rozhraní Microsoft Graph API k zahájení této cesty.
Pokud chcete úspěšně dokončit tento kurz, ujistěte se, že máte požadované požadavky:
Je nainstalovaná sada Microsoft Graph PowerShell SDK. Další informace najdete v článku Instalace sady Microsoft Graph PowerShell SDK.
Microsoft Graph PowerShell s rolí security Správa istrator. Vyžaduje se delegovaná oprávnění IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All nebo IdentityRiskyUser.ReadWrite.All. Pokud chcete nastavit oprávnění na IdentityRiskEvent.Read.All a IdentityRiskyUser.ReadWrite.All, spusťte:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Pokud používáte ověřování jen pro aplikace, přečtěte si článek Použití ověřování jen pro aplikace se sadou Microsoft Graph PowerShell SDK. Pokud chcete zaregistrovat aplikaci s požadovanými oprávněními aplikace, připravte certifikát a spusťte:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Výpis rizikových detekcí pomocí PowerShellu
Detekci rizik můžete načíst pomocí vlastností detekce rizik ve službě ID Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Výpis rizikových uživatelů pomocí PowerShellu
Rizikové uživatele a jejich rizikové historie můžete načíst v rámci ochrany ID.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Ověření ohrožení zabezpečení uživatelů pomocí PowerShellu
Můžete potvrdit ohrožení zabezpečení uživatelů a označit je jako vysoce rizikové uživatele ve službě ID Protection.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Zavření rizikových uživatelů pomocí PowerShellu
Rizikoví uživatelé můžete hromadně zavřít ve službě ID Protection.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id